ISEを使用したRA-VPNaaSポスチャアセスメントのセキュアアクセスの設定

はじめに

このドキュメントでは、Identity Service Engine(ISE)とセキュアアクセスを使用して、リモートアクセスVPNユーザのポスチャアセスメント(FSA)を設定する方法について説明します。

前提条件

• ユーザプロビジョニングの設定
• トンネル経由でセキュアアクセスに接続されたCisco ISE

要件

次の項目に関する知識があることが推奨されます。

• アイデンティティサービスエンジン
• セキュアなアクセス
• Cisco Secure Client
•  ISE ポスチャ
• 認証、許可、およびアカウンティング

使用するコンポーネント

このドキュメントの情報は、次のハードウェアに基づくものです。 

• Identity Service Engine(ISE)バージョン3.3パッチ1
• セキュアなアクセス
• Cisco Secure Client:Anyconnect VPNバージョン5.1.2.42

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

セキュアアクセス – ISE – 図

Cisco Secure AccessとIdentity Services Engine(ISE)を統合することで、MS-CHAPv2などのさまざまな認証プロトコルを活用して接続を保護する包括的なセキュリティアプローチが実現します。Cisco Secure Accessは、高度なセキュリティサービスエッジ(SSE)ソリューションを使用して、高度に分散化された環境全体のセキュアな接続を強化し、ISE機能を使用して保護できるVPN as a Service(VPNaaS)などの機能を提供します。

この統合により、シームレスでセキュアなアクセスエクスペリエンスが実現し、ユーザは場所やアプリケーションを問わず、最適なパフォーマンスとセキュリティで接続できます。ポスチャアセスメントなどのCisco ISEの高度な機能を使用することで、アクセスを許可する前に内部ユーザポリシーに対してPCのコンプライアンスを評価できるため、このセキュリティモデルがさらに強化されます。これにより、組織のセキュリティ要件を満たすデバイスのみがネットワークリソースにアクセスできるようになり、脆弱性のリスクが軽減されます。

注:RADIUS統合を設定するには、両方のプラットフォーム間で通信が行われていることを確認する必要があります。

ネットワーク図

設定

注：設定プロセスを開始する前に、「セキュアアクセスとISE統合の最初の手順」を完了する必要があります。

セキュアアクセスの設定

IPプールでのRADIUSグループの設定

Radiusを使用してVPNプロファイルを設定するには、次の手順に進みます。 

Secure Access Dashboardに移動します。

• クリック Connect > Enduser Connectivity > Virtual Private Network
• Pool Configuration(Manage IP Pools)で、Manage

• IP Pool Regionを選択し、 Radius Server

• 編集する鉛筆をクリックします

• IP Poolセクションのconfigurationドロップダウンで、 Radius Group (Optional)
• [保存（ Add RADIUS Group

• Generalの下で、次のオプションを設定します。 

• Group Name：セキュアアクセスでISE統合の名前を設定します。
  • AAA method
    
    • Authentication:Authenticationのチェックボックスをオンにして、ポートを選択します。デフォルトは1812です。
      • 認証でMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)が必要な場合は、チェックボックスをオンにします
    • Authorization:Authorizationのチェックボックスをオンにして、ポートを選択します。デフォルトは1812です。
      • Authorization mode OnlyおよびChange of Authorization (CoA) mode()のチェックボックスをオンにして、ISEからのポスチャと変更を許可します。
    • Accounting:Authorizationのチェックボックスをオンにし、ポートを選択します。デフォルトは1813です。
      • Single or Simultaneousを選択します(シングルモードでは、アカウンティングデータは1つのサーバだけに送信されます。同時モードでは、グループ内のすべてのサーバへのアカウンティングデータ)
      • RADIUS interim-accounting-updateメッセージの定期的な生成を有効にするには、Accounting updateのチェックボックスをオンにします。

注意:AuthenticationとAuthorizationの両方の方法を選択する場合は、同じポートを使用する必要があります。

• その後、AAAによる認証に使用するRADIUS Servers(ISE)をRADIUS Serversのセクションで設定する必要があります。
• クリック + Add

• 次に、次のオプションを設定します。

• Server Name:ISEサーバを識別するための名前を設定します。
• IP Address：セキュアアクセスを介して到達可能なCisco ISEデバイスのIPを設定します
• Secret Key:RADIUS秘密鍵の設定
• Password:RADIUSパスワードを設定します。

• Saveをクリックし、Assign Serverオプションの下にRadiusサーバを割り当て、ISEサーバを選択します。

• Saveをもう一度クリックして、すべての設定を保存します

IPプールでISEサーバを設定したので、次はVPN Profilesで設定する必要があります。

ISEを使用するためのVPNプロファイルの設定

VPNプロファイルを設定するには、セキュアアクセスダッシュボードに移動します。

• クリック Connect > Enduser Connectivity > Virtual Private Network
• クリック時VPN Profiles: + Add
• 次に、次のオプションを設定します。

一般設定

• VPN Profile name：プロファイル名を設定します
• Default Domain：ドメインを設定します。
• DNS Server：設定したドメインネームサーバ(DNS)サーバを選択します。
• Protocol:VPNで許可する必要があるプロトコルを設定します
• Connect Time posture：ポスチャを選択するか、または「なし」のままにします。

• その後、 Next

認証、許可、およびアカウンティング

[Authentication]

• Authentication
  
  • Protocols:選択 Radius
  • Map authentication groups to regions：地域を選択し、 Radius Groups
• [保存（ Next

注：複数のリージョンがある場合は、すべてのリージョンにチェックマークを付け、RADIUSグループを選択する必要があります。この操作を行わないと、「Next」ボタンがグレー表示になります。

すべての認証部分を設定した後、認可に進んでください。

許可

• Authorization
  • Enable Radius Authorization：チェックボックスをオンにして、RADIUS認証を有効にします。
  • すべてのリージョンに対して1つのグループを選択する：リモートアクセス – バーチャルプライベートネットワーク(RA-VPN)のすべてのプールに対して1つの特定のRADIUSサーバーを使用する場合は、チェックボックスをオンにします。または、プールごとに個別に定義します
• [保存（ Next

すべてのAuthorization部品を設定したら、Accountingに進んでください。

注:Radio Authorizationを有効にしないと、ポスチャは機能しません。

アカウンティング

• Accounting
  • Map Authorization groups to regions：地域を選択し、 Radius Groups
• [保存（ Next

After you have done configured the Authentication, Authorization and Accounting please continue withTraffic Steering.

トラフィック誘導

トラフィックステアリングの下で、セキュアアクセスを介した通信のタイプを設定する必要があります。

• Connect to Secure Accessを選択すると、すべてのインターネットトラフィックは Secure Access

インターネットドメインまたはIPの除外を追加する場合は、「+ Add」ボタンをクリックし、「Next」をクリックします。

• Bypass Secure Accessを実行すると、すべてのインターネットトラフィックは、インターネットプロバイダーを経由しSecure Access（インターネット保護なし）は通過しません

注：Bypass Secure Accessを選択する際は、ISEポスチャにenroll.cisco.comを追加してください。

この手順では、VPN経由でアクセスするすべてのプライベートネットワークリソースを選択します。そのためには、+ Addをクリックし、すべてのリソースを追加したらNextをクリックします。

Cisco Secure Clientの設定

このステップでは、すべてをデフォルトのままにして「Save」をクリックできますが、設定をさらにカスタマイズする場合は、『Cisco Secure Client管理者ガイド』を確認してください。

ISEの設定

ネットワークデバイスのリストの設定

Cisco ISE経由で認証を設定するには、Cisco ISEに対してクエリを実行できる許可されたデバイスを設定する必要があります。

• 移動先：  Administration > Network Devices
• クリック + Add 

• Name：名前を使用してセキュアアクセスを識別する
• IP  Address:手順のManagement InterfaceのIPプール領域を設定します。
• Device Profile：シスコを選択
  • Radius Authentication Settings
    
    • Shared Secret：ステップで設定したのと同じ共有秘密(秘密鍵)を設定します。
    • CoA Port：デフォルトで使用します。1700はセキュアアクセスでも使用されます。

その後、Saveをクリックして、統合が正しく機能するかどうかを確認してから、統合検証用のローカルユーザの作成に進みます。

グループの設定

ローカルユーザで使用するグループを設定するには、次の手順を実行します。

• クリック Administration > Groups
• [保存（ User Identity Groups
• [保存（ + Add
• グループのNameを作成し、 Submit

ローカルユーザの設定

ローカルユーザを設定して統合を確認するには、次の手順を実行します。

• 移動先：  Administration > Identities
• クリック Add +

• Username：セキュアアクセスで既知のUPNプロビジョニングを使用してユーザ名を設定します。これは、手順「前提条件
• Status:アクティブ
• Password Lifetime：必要に応じて、With ExpirationまたはNever Expiresを設定できます。
• Login Password：ユーザのパスワードを作成します。
• User Groups:Configure a Groupのステップで作成したグループを選択します。

注:UPNに基づく認証は、今後のSecure Accessのバージョンで変更される予定です。

その後、設定をSaveして、Configure Policy Setの手順を続行できます。

ポリシーセットの設定

ポリシーセットの下で、認証および認可時にISEが実行するアクションを設定します。このシナリオでは、ユーザアクセスを提供する簡単なポリシーを設定する使用例を示します。まず、ISEはRADIUS認証の送信元を確認し、ISEユーザデータベースにIDが存在するかどうかをチェックしてアクセスを提供します

このポリシーを設定するには、Cisco ISEダッシュボードに移動します。 

• クリック Policy > Policy Sets
• 「+」をクリックして新しいポリシーセットを追加します。

この場合、デフォルトのポリシーセットで動作するのではなく、新しいポリシーセットを作成します。次に、そのポリシーセットに基づいて認証と認可を設定します。設定されたポリシーは、「ネットワークデバイスのリストの設定」の手順で定義されたネットワークデバイスへのアクセスを許可し、これらの認証がCSA Network Device Listから到達していることを確認してから、Conditionsとしてポリシーに到達するようにします。最後に、Default Network Accessのように、許可されるプロトコルについて説明します。

ポリシーセットに一致する「condition」を作成するには、次の手順に進みます。

• クリック +
• Condition Studioでは、次の情報が表示されます。 

1. 条件を作成するには、 Click to add an attribute
2. 「Network Device」ボタンをクリックします。 
3. 背後にあるオプションで、Network Access - Network Device Nameオプションをクリックします。
4. Equalsオプションの下で、手順Configure Network Devices Listの下にNetwork Deviceの名前を入力します
5. [保存（ Save

CSA このポリシーは、ポリシーセット「CSA-ISE」に基づいて「Authentication」および「Authorization」の設定を続行するための送信元からの要求のみを承認し、許可されたプロトコルに対する「 Default Network Access」に基づいて許可されたプロトコルも検証します。

定義されたポリシーの結果は次のようになります。 

• 許可されている「Default Network Access Protocols」を確認するには、次の手順に進みます。 
  • クリックPolicy > Results
  • クリック Allowed Protocols
  • クリック Default Network Access

• 次に、許可されているすべてのプロトコルが表示されます Default Network Access

ポリシーセットの認証と認可の設定

Policy Setの下にAuthenticationとAuthorizationポリシーを作成するには、次の手順に進みます。

• クリック >

• その後、AuthenticationとAuthorizationのポリシーが表示されます。 

認証ポリシー

認証ポリシーについては、さまざまな方法で設定できます。この場合、手順「ネットワークデバイスリストの設定」で定義されたデバイスのポリシーが表示され、特定の基準に基づいて認証が確認されます。 

• Network Device CSAで認証されたユーザの認証は成功したか、拒否されました。

このポリシーは、ポリシーセットの設定の手順で定義されているポリシーと同じです。

認可ポリシー

認可ポリシーはさまざまな方法で設定できます。この場合、「グループの設定」の手順で定義したグループのユーザだけを認可します。認可ポリシーを設定するには、次の例を参照してください。

• クリック Authorization Policy
• +をクリックして、次のような許可のポリシーを定義します。 

• 次の手順では、Rule NameConditions 、および Profiles
• Nameを設定するときは、認可ポリシーを簡単に識別できるように名前を設定します 
• Conditionを設定するには、 +
• Condition Studioの下に、次の情報があります。 

1. 条件を作成するには、 Click to add an attribute
2. 「Identity Group」ボタンをクリックします。 
3. 背後のオプションでInternal User - IdentityGroupオプションをクリックします。
4. 「Equals」オプションの下にあるドロップダウンを使用して、手順「Configure a Group」で認証が承認されたGroupグループを検索します
5. [保存（ Save
6. [保存（ Use

その後で、次のコマンドを定義する必要があります。 Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

1. Authorization Policyの下にあるドロップダウンボタンをクリックして、 Profiles
2. 許可の検索
3. [コールの詳細設定（ PermitAccess
4. [保存（ Save

その後、Authentication と Authorization<policy>を定義しました。ユーザが問題なく接続するかどうか、およびセキュアアクセスとISEのログを表示できるかどうかを確認するために認証します。

VPNに接続するには、セキュアアクセスで作成されたプロファイルを使用し、セキュアクライアントを介してISEプロファイルで接続します。

• 認証が承認されると、セキュアアクセスでログはどのように表示されますか。 
  • セキュアアクセスダッシュボードに移動します
  • クリック Monitor > Remote Access Log

• 認証が承認されると、ISEにログはどのように表示されますか。
  • に移動します。 Cisco ISE Dashboard
  • クリック Operations > Live Logs

RadiusローカルまたはActive Directoryユーザの設定

ISEポスチャの設定

このシナリオでは、内部リソースへのアクセスを許可または拒否する前に、エンドポイントのコンプライアンスを確認する設定を作成します。

これを設定するには、次の手順に進みます。

ポスチャ条件の設定

• ISEダッシュボードに移動します
• クリック Work Center > Policy Elements > Conditions
• クリック Anti-Malware

注：デバイスのポスチャを検証し、内部ポリシーに基づいて正しい評価を行うための多くのオプションがあります。

• Anti-Malware Conditionsで、 + Add

• Anti-Malware Conditionを設定して、システム上のウイルス対策ソフトウェアのインストールを検出します。必要に応じて、オペレーティングシステムのバージョンも選択できます。

• Name：名前を使用してマルウェア対策条件を認識する
• Operating System：条件の下に置くオペレーティングシステムを選択します
• Vendor：ベンダーまたはANYを選択します
• Check Type：エージェントがインストールされているかどうか、またはそのオプションの定義バージョンを確認できます。

• Products for Selected Vendorでは、デバイスのマルウェア対策について確認する内容を設定します。

1. 評価する条件のチェックボックスをオンにします
2. 検証する最小バージョンの設定
3. [保存]をクリックして、次の手順に進みます

設定が完了したら、Configure Posture Requirementsの手順に進みます。

ポスチャ要件の設定

• ISEダッシュボードに移動します
• クリック Work Center > Policy Elements > Requeriments
• いずれかの要件で「Edit」をクリックし、 Insert new Requirement

• 新しい要件の下で、次のパラメータを設定します。

• Name：マルウェア対策要件を認識するための名前を設定します
• Operating System：条件ステップ「オペレーティングシステム」で選択したオペレーティングシステムを選択します。  
• Compliance Module：条件ステップ「マルウェア対策条件」で選択したものと同じコンプライアンスモジュールを必ず選択する必要があります
• Posture Type：エージェントの選択
• Conditions:ポスチャ条件の設定の手順で作成した1つ以上の条件を選択します。
• Remediations Actions：この例では「Message Text Only」を選択するか、別の修復操作がある場合は「remediation action」を使用します
• [保存（ Save

設定が完了したら、次の手順に進みます。 Configure Posture Policy

ポスチャポリシーの設定

• ISEダッシュボードに移動します
• クリック Work Center > Posture Policy
• いずれかのポリシーで「Edit」をクリックし、 Insert new Policy

• 新しいポリシーで、次のパラメータを設定します。

• Status：チェックボックスをオンにし、ポリシーを有効にしない
• Rule Name：設定したポリシーを認識するための名前を設定します。
• Identity Groups：評価するIDを選択します
• Operating Systems：前に設定した条件と要件に基づいてオペレーティングシステムを選択します。
• Compliance Module：事前に設定された条件と要件に基づいて、コンプライアンスモジュールを選択します
• Posture Type：エージェントの選択
• Requeriments：ステップ「ポスチャ要件の設定」で設定した要件を選択します。
• [保存（ Save

クライアントプロビジョニングの設定

ユーザにISEモジュールを提供するには、マシンにISEポスチャモジュールを装備するようにクライアントプロビジョニングを設定します。これにより、エージェントのインストール後にマシンのポスチャを確認できます。このプロセスを続行するには、次の手順を実行します。

ISEダッシュボードに移動します。

• クリック Work Center > Client Provisioning
• 選択 Resources

クライアントプロビジョニングでは、次の3つのことを設定する必要があります。

Step 1 エージェントリソースのダウンロードとアップロード

• 新しいエージェントリソースを追加するには、シスコダウンロードポータルに移動し、Web展開パッケージをダウンロードします。Web展開ファイルは.pkg形式である必要があります。

• をクリック+ Add > Agent resources from local disk し、パッケージをアップロードします。

Step 2コンプライアンスモジュールのダウンロード 

• クリック + Add > Agent resources from Cisco Site

• 必要なすべてのコンプライアンスモジュールのチェックボックスをオンにして、 Save

Step 3エージェントプロファイルの設定

• クリック + Add > Agent Posture Profile

• Nameを作成して、 Posture Profile

• Server name rulesの下に*を入れ、その後にSaveをクリックします

Step 4 エージェントの設定

• クリック + Add > Agent Configuration

• その後、次のパラメータを設定します。 

• Select Agent Package : Step1 Download and Upload Agent Resourcesでアップロードしたパッケージを選択します。
• Configuration Name：名前を選択して、 Agent Configuration
• Compliance Module: ステップ2「コンプライアンスモジュールのダウンロード」でダウンロードしたコンプライアンスモジュールを選択します。
• Cisco Secure Client Module Selection
  
  • ISE Posture：チェックボックスをオンにする
• Profile Selection
  
  • ISE Posture: Step3 Configure the Agent Profileで設定したISEプロファイルを選択します。
• [保存（ Save

注：各オペレーティングシステム（Windows、Mac OS、またはLinux）に独立した1つのクライアント設定を持たせることをお勧めします。

クライアントプロビジョニングポリシーの設定

最後の手順で設定したISEポスチャおよびモジュールのプロビジョニングを有効にするには、プロビジョニングを行うようにポリシーを設定する必要があります。

• ISEダッシュボードに移動します
• クリック Work Center > Client Provisioning

注：オペレーティングシステム（Windows、Mac OS、またはLinux）ごとに1つのクライアント設定ポリシーを設定することをお勧めします。

• Rule Name：デバイスタイプとアイデンティティグループの選択に基づいてポリシー名を設定し、各ポリシーを簡単に識別できるようにします
• Identity Groups：ポリシーで評価するIDを選択します
• Operating Systems：ステップ「エージェントパッケージの選択」で選択したエージェントパッケージに基づいてオペレーティングシステムを選択します
• Other Condition:手順で設定した方式(RADIUSグループの追加)に基づいてNetwork AccessAuthentication MethodEQUALSを選択するか、または空欄のままにしておきます。
• Result:手順4で設定したエージェント設定を選択します。エージェント設定の設定 
  • Native Supplicant Configuration: Config Wizardとを選択します Wizard Profile
• チェックボックスでポリシーが有効と表示されていない場合は、有効とマークします。

認可プロファイルの作成

認可プロファイルは、認証パス後のユーザポスチャに応じて、リソースへのアクセスを制限します。ユーザがポスチャに基づいてアクセスできるリソースを判別するには、認可を確認する必要があります。

DACLを設定するには、ISEダッシュボードに移動します。

• クリック Work Centers > Policy Elements > Downloadable ACLs
• クリック +Add
• 新しい Compliant DACL

• Name: DACL準拠を参照する名前を追加します。
• IP version:選択 IPv4
• DACL Content: ネットワークのすべてのリソースへのアクセスを許可するダウンロード可能なアクセスコントロールリスト(DACL)を作成する

permit ip any any

Saveをクリックして、Unknown Compliance DACLを作成します

• クリック Work Centers > Policy Elements > Downloadable ACLs
• クリック +Add
• 新しい Unknown Compliant DACL

• Name:DACL-Unknown-Compliantを参照する名前を追加します。
• IP version:選択 IPv4
• DACL Content: ポート8443経由でのネットワーク、DHCP、DNS、HTTP、およびプロビジョニングポータルへの制限付きアクセスを提供するDACLを作成します

permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443

注：このシナリオでは、IPアドレス192.168.10.206はCisco Identity Services Engine(ISE)サーバに対応し、ポート8443はプロビジョニングポータル用に指定されています。つまり、IPアドレス192.168.10.206へのポート8443経由のTCPトラフィックが許可され、プロビジョニングポータルへのアクセスが容易になります。

この時点で、認可プロファイルを作成するために必要なDACLが完成します。

認可プロファイルを設定するには、ISEダッシュボードに移動します。

• クリック Work Centers > Policy Elements > Authorization Profiles
• クリック +Add
• 新しい Compliant Authorization Profile

• Name：準拠する認可プロファイルを参照する名前を作成します
• Access Type:選択 ACCESS_ACCEPT

• Common Tasks
  • DACL NAME：ステップCompliant DACLで設定されたDACLを選択します。

Saveをクリックして、 Unknown Authorization Profile

• クリック Work Centers > Policy Elements > Authorization Profiles
• クリック +Add
• 新しい Uknown Compliant Authorization Profile

• Name：不明な準拠認可プロファイルを参照する名前を作成します。
• Access Type:選択 ACCESS_ACCEPT

• Common Tasks
  • DACL NAME：ステップUnknown Compliant DACLで設定したDACLを選択します。
  • Web Redirection (CWA,MDM,NSP,CPP)
    • 選択 Client Provisioning (Posture)
    • ACL：次の値でなければなりません。 redirect
    • Value：デフォルトのプロビジョニングポータルを選択します。別のポータルを定義した場合は、それを選択します

注：すべての導入でのセキュアアクセスでのリダイレクトACLの名前は、redirectです。

これらすべての値を定義した後は、Attributes Detailsの下に同様の値を設定する必要があります。

Saveをクリックして設定を終了し、次のステップに進みます。

ポスチャポリシーセットの設定

作成するこれらの3つのポリシーは、設定した認可プロファイルに基づいています。DenyAccessでは、別の認可プロファイルを作成する必要はありません。

ISEダッシュボードに移動します

• クリック Work Center > Policy Sets
• をクリックして>、作成したポリシーにアクセスします

• をクリックします。 Authorization Policy

• 次の3つのポリシーを次の順序で作成します。

• 「+」をクリックして「CSA-Compliance」ポリシーを定義します。 

• 次の手順では、Rule NameConditions 、および Profiles
• Nameコマンドで名前を設定し、 CSA-Compliance
• Conditionを設定するには、 +
• Condition Studioの下に、次の情報があります。 

1. 条件を作成するには、次を検索します compliant
2. 次のように表示されているはずです。 Compliant_Devices
3. 下にドラッグアンドドロップします。 Editor
4. 2番目の条件を作成するには、次を検索します。 network
5. 次のように表示されているはずです。 Network_Access_Authentication_Passed
6. 下にドラッグアンドドロップします。 Editor
7. 次の場所にあるEditor New
8. Identity Groupアイコンをクリックします。
9. 選択 Internal User Identity Group
10. Equalsで、照合するUser Identity Groupを選択します
11. [保存（ Use

• その結果、次のイメージが表示されます

• ドロップダウンボタンの下のProfileをクリックし、手順で設定したクレーム認可プロファイル、Compliant Authorization Profileを選択します。

Compliance Policy Setを設定しました。

• 「+」をクリックして「CSA-Unknown-Compliance」ポリシーを定義します。 

• 次の手順では、Rule NameConditions 、および Profiles
• Nameコマンドで名前を設定し、 CSA-Unknown-Compliance
• Conditionを設定するには、 +
• Condition Studioの下に、次の情報があります。 

1. 条件を作成するには、次を検索します compliance
2. 次のように表示されているはずです。 Compliant_Unknown_Devices
3. 下にドラッグアンドドロップします。 Editor
4. 2番目の条件を作成するには、次を検索します。 network
5. 次のように表示されているはずです。 Network_Access_Authentication_Passed
6. 下にドラッグアンドドロップします。 Editor
7. 次の場所にあるEditor New
8. Identity Groupアイコンをクリックします。
9. 選択 Internal User Identity Group
10. Equalsで、照合するUser Identity Groupを選択します
11. [保存（ Use

• その結果、次のイメージが表示されます

• ドロップダウンボタンの下のProfileをクリックし、手順で設定されたクレーム認可プロファイル、Unknown Compliant Authorization Profileを選択します。

Unknown Compliance Policy Setを設定しました。

• +をクリックして、CSA- Non-Compliantポリシーを定義します。 

• 次の手順では、Rule NameConditions 、および Profiles
• Nameコマンドで名前を設定し、 CSA-Non-Compliance
• Conditionを設定するには、 +
• Condition Studioの下に、次の情報があります。 

1. 条件を作成するには、次を検索します non
2. 次のように表示されているはずです。 Non_Compliant_Devices
3. 下にドラッグアンドドロップします。 Editor
4. 2番目の条件を作成するには、次を検索します。 network
5. 次のように表示されているはずです。 Network_Access_Authentication_Passed
6. 下にドラッグアンドドロップします。 Editor
7. 次の場所にあるEditor New
8. Identity Groupアイコンをクリックします。
9. 選択 Internal User Identity Group
10. Equalsで、照合するUser Identity Groupを選択します
11. [保存（ Use

• その結果、次のイメージが表示されます

• ドロップダウンボタンの下にある「Profile」をクリックし、苦情認証プロファイルを選択します DenyAccess

3つのプロファイルの設定を終了すると、ポスチャとの統合をテストする準備が整います。

確認

ポスチャ検証

マシン上の接続

セキュアクライアント経由でセキュアアクセスで提供されるFQDN RA-VPNドメインに接続します。

1. セキュアクライアントを使用して接続します。

2. 認証のためにクレデンシャルを入力します。

3. この時点で、VPNに接続し、通常はISEにリダイレクトされます。リダイレクトされない場合は、http:1.1.1.1に移動します。

注：この時点では、マシンにISEポスチャエージェントがインストールされていないため、認証ポリシーセットCSA-Unknown-Complianceの対象になりますが、ISEプロビジョニングポータルにリダイレクトされてエージェントをインストールします。

4. [開始]をクリックして、エージェントのプロビジョニングを続行します。

5. 「+ This is my first time here」をクリックします。

6. クリック Click here to download and install agent

7. エージェントのインストール 

8. エージェントのインストール後、ISEポスチャはマシンの現在のポスチャの確認を開始します。ポリシーの要件が満たされていない場合は、コンプライアンスに向けて誘導するポップアップが表示されます。

注：Cancelを実行するか残りの時間が終了すると、自動的に非準拠になり、認可ポリシーセットCSA-Non-Complianceに分類され、すぐにVPNから切断されます。

9. セキュアエンドポイントエージェントをインストールし、VPNに再接続します。

10. エージェントがマシンがコンプライアンスに準拠していることを確認した後、ポスチャが準拠に変わり、ネットワーク上のすべてのリソースへのアクセスを許可します。

注：ポリシーに準拠すると、認証ポリシーセットCSA-Complianceの対象となり、すぐに全ネットワークリソースにアクセスできます。

ISEでログを収集する方法

ユーザの認証結果を確認するには、コンプライアンスと非コンプライアンスの2つの例があります。ISEで確認するには、次の手順に従います。

• ISEダッシュボードに移動します
• クリック Operations > Live Logs

次のthoシナリオでは、正常なコンプライアンスイベントと非コンプライアンスイベントがLive Logsの下にどのように表示されるかを示しています。

コンプライアンス

コンプライアンス違反

セキュアアクセスとISE統合の最初のステップ

次の例では、Cisco ISEはネットワーク192.168.10.0/24の下にあり、トンネルを介して到達可能なネットワークの設定をトンネル設定の下に追加する必要があります。

Step 1：トンネル設定を確認します。

これを確認するには、セキュアアクセスダッシュボードに移動してください。

• クリック Connect > Network Connections
• Network Tunnel Groups > Your Tunnelの順にクリックします

• summaryの下で、Cisco ISEがあるアドレス空間がトンネルに設定されていることを確認します。

Step 2：ファイアウォールでトラフィックを許可します。

セキュアアクセスでRADIUS認証にISEデバイスを使用できるようにするには、ネットワークへのセキュアアクセスからのルールに必要なRADIUSポートを設定しておく必要があります。

注:ISEに関連するその他のポートについては、『ユーザガイド：ポート参照』を参照してください。

注:ise.ciscosspt.esなどの名前で検出されるようにISEを設定した場合は、DNSルールが必要です。

管理プールとエンドポイントIPプール

管理およびエンドポイントIPプールを確認するには、セキュアアクセスダッシュボードに移動します。

• クリック Connect > End User Connectivity
• クリック Virtual Private Network
• 通常の Manage IP Pools
• クリック Manage

ステップ3:ISEがプライベートリソースで設定されていることを確認します

VPN経由で接続しているユーザがISE Provisioning Portalにアクセスできるようにするには、アクセスを提供するプライベートリソースとしてデバイスを設定していることを確認する必要があります。このリソースは、VPN経由でのISE Posture Moduleの自動プロビジョニングを許可するために使用されます。

ISEが正しく設定されていることを確認するには、セキュアアクセスダッシュボードに移動します。

• クリック Resources > Private Resources
• ISEリソースをクリックします。

必要に応じて、プロビジョニングポータルポート(8443)にルールを制限できます。

注:VPN接続のチェックボックスがオンになっていることを確認してください。

ステップ4：アクセスポリシーでISEアクセスを許可する

VPN経由で接続しているユーザがISE Provisioning Portalに移動できるようにするには、そのルールで設定されているユーザに対し、Step3で設定されているプライベートリソースへのアクセスを許可するAccess Policyを設定していることを確認する必要があります。

ISEが正しく設定されていることを確認するには、セキュアアクセスダッシュボードに移動します。

• クリック Secure > Access Policy
• ISEへのVPNユーザのアクセスを許可するために設定されたルールをクリックします

トラブルシュート

ISEポスチャデバッグログのダウンロード方法

ISEログをダウンロードしてポスチャに関連する問題を確認するには、次の手順に進みます。 

• ISEダッシュボードに移動します
• クリック Operations > Troubleshoot > Debug Wizard

• クリック Debug Profile Configuration

• チェックボックスをオンにする Posture > Debug Nodes 

• 問題をトラブルシューティングするためにデバッグモードを有効にするISEノードのチェックボックスをオンにします

• [保存（ Save

注意：この後、問題の再現を開始する必要があります。the debug logs can affect the performance of your device。

問題が再現されたら、次の手順に進みます。

• クリック Operations > Download Logs
• ログを取得するノードを選択します

• の下で Support Bundle、次のオプションを選択します。

• Include debug logs
• 通常の Support Bundle Encryption
  • Shared Key Encryption
    • Encryption keyと Re-Enter Encryption key
• [保存（ Create Support Bundle
• [保存（ Download

警告：デバッグの設定のステップで有効にしたデバッグモードを無効にします。

セキュアアクセスリモートアクセスログの確認方法

セキュアアクセスダッシュボードに移動します。

• クリック Monitor > Remote Access Logs

セキュアクライアントでDARTバンドルを生成

マシンでDARTバンドルを生成するには、次の記事を確認してください。 

Cisco Secure Client Diagnostic and Reporting Tool(DART)

注：トラブルシューティングセクションに示すログを収集したら、TACでケースをオープンして情報の分析を進めてください。

関連情報

• シスコのテクニカルサポートとダウンロード
• Secure Accessに関するドキュメントおよびユーザガイド
• Cisco Secure Clientソフトウェアのダウンロード
• Cisco Identity Services Engine 管理者ガイド リリース 3.3